25 April 2008
Suatu ketika saya membuka halaman Detik.com tertanggal 16 April 2008. Diberitakan bahwa pakar keamanan komputer Budi Rahardjo mengatakan:
“Biasanya yang penting webnya jalan dulu, baru kemudian memikirkan masalah sekuriti lalu yang ketiga performa,” ujarnya kepada detikINET yang dihubungi via telepon, Rabu (16/4/2008).
Peryataan Pak Budi ini terkait dengan pertanyaan banyaknya situs-situs pemerintah yang di deface. Bahkan saking banyaknya, deface-mendeface situs sudah seperti jamur diantara tumpukan kayu lapuk. Tapi bukan ini yang saya soroti, karena memang saya tidak pandai dalam hal deface-mendeface. Tetapi yang saya soroti adalah masalah pernyataannya bahwa: Sekuriti nomor dua.
Sebelumnya saya pernah mengirim sebuah tulisan dalam sebuah lomba karya tulis ilmiah (meskipun tidak tembus final..:-D). Disitu saya sempat mengatakan bahwa “Security is number two”. Bukan ingin ikut-ikut Pak Budi, tapi memang hal ini sempat saya amati dan saya tanyakan ke beberapa user aplikasi sekuriti. Bahkan dalam suatu kunjungan ke UGM, pihak kampus sempat mengatakan bahwa penggunaan portal di kampus tersebut juga tidak menomor satukan sekuriti.
Untuk saya yang bekerja di lingkungan instansi yang “katanya” mengurusi masalah sekuriti nasional, hal ini tidaklah terlalu mengejutkan. Bahkan sempat saya merasa setuju akan hal tersebut. Karena memang kebanyakan aplikasi sekuriti kurang bisa mengadopsi keinginan user dalam hal kemudahan penggunaan. Selama ini yang tertanam di benak banyak pengguna sekuriti adalah, sekuriti sama dengan keruwetan… Semakin secure suatu sistem atau aplikasi, maka semakin rumit prosedurnya dan semakin sulit digunakan. Terutama oleh orang-orang awam yang tidak mengerti dan tidak mau tahu masalah sekuriti (red: tidak mau repot). Belum lagi masalah ketidak-nyamanan yang timbul.
Contoh kasus begini: Misalkan sebuah ponsel memiliki fitur secure call. Yang harus dilakukan oleh user adalah mencari kontak yang akan dihubungi, kemudian tekan call. Sebenarnya proses ini adalah proses penggunaan yang sama dengan penggunaan ponsel seperti biasanya. Namun setelah ponsel yang dihubungi merespon, maka yang dilakukan user selanjutnya adalah menunggu (yang tentunya tidak sama dengan dengan ponsel biasanya). Karena dalam komunikasi secure biasanya harus ada sinkronisasi kunci enkripsi, verifikasi identitas user dan enkripsi. Kalau hal itu dilakukan dalam layer aplikasi, tentu delay timenya akan sangat lama, mungkin sekitar 9-15 detik (perkiraan: dengan asumsi kunci yang digunakan sekitar 1024 bit). Belum lagi komunikasinya yang juga pasti akan delay karena juga ada proses enkripsinya (perkiraan: dengan bit yang lebih kecil sekitar 128 bit). Padahal kebanyakan manusia (baca: pejabat) itu paling benci dengan yang namanya menunggu (banyak juga yang lebih suka menggunakan jalan pintas…). Kalau proses diatas dilakukan pada layer fisikal, delaynya mungkin bisa berkurang setengahnya.
Pandangan saya mungkin agak berbeda dengan Pak Budi, kalau Pak Budi melihat dalam konteks sekuriti sebuah situs, saya melihat dalam konteks kemudahan dalam sekuriti. Tapi mungkin kami sepakat dalam satu hal: Sekuriti is number two. At least untuk saat ini… Mungkin yang lain punya pendapat yang berbeda??





